http://www.secuobs.com L'observatoire de la securite Internet fr webmaster@secuobs.com Cansecwest est l'une des conférences favorites de l'upperground des hackers. Sise en Colombie-Britannique, la plus occidentale des provinces canadiennes, c’est également lors de cette conférence qu’a lieu la célèbre compétition Pwn2Own. Une chronique « embedded » par Véronique Loquet. http://www.secuobs.com/news/12042013-cansecwest-embedded.shtml http://www.secuobs.com/news/12042013-cansecwest-embedded.shtml De nombreuses conférences, francophones et internationales, vont avoir lieu dans les prochains mois en France et plus particulièrement à Paris. NSC, HES, HIP, NDH, SSTIC, GSDays … pour certaines les places peuvent être convoitées. http://www.secuobs.com/news/26032013-conferences-printemps-2013.shtml http://www.secuobs.com/news/26032013-conferences-printemps-2013.shtml L'édition 2013 du Forum international de la cybersécurité a été un succès, avec la participation de plusieurs responsables politiques de premier plan. http://www.secuobs.com/news/14022013-fic_2013.shtml http://www.secuobs.com/news/14022013-fic_2013.shtml En activité depuis au moins un an et demi, un Botnet vient d’être découvert récemment par Rapid7 et présente la caractéristique d’utiliser aussi bien le réseau d’anonymisation que les fonctionnalités de services cachés qui sont offertes par la solution Open Source TOR. http://www.secuobs.com/news/17122012-botnet_tor_hidden_services.shtml http://www.secuobs.com/news/17122012-botnet_tor_hidden_services.shtml Un nouveau vecteur d’exploitation critique a été découvert au sein des tablettes Samsung selon le modèle de processeurs dont ces dernières disposent. Les utilisateurs des tablettes Samsung Galaxy S2 et Galaxy Note 2 sont notamment concernés par les risques encourus. http://www.secuobs.com/news/17122012-samsung_galaxy_s2_vulnerability.shtml http://www.secuobs.com/news/17122012-samsung_galaxy_s2_vulnerability.shtml Conformément à ce qui avait été annoncé lors de la sortie de Qubes 1, le support des AppVMs Windows vient de faire son apparition dans la première version Beta du système d’exploitation virtualisé Qubes 2, publié lui aussi sous une licence Open Source. http://www.secuobs.com/news/17122012-qubes_2_beta_appvm_windows.shtml http://www.secuobs.com/news/17122012-qubes_2_beta_appvm_windows.shtml Des chercheurs ont présenté la semaine dernière un livre blanc et une preuve de concept démontrant la facilité avec laquelle des fraudes financières pouvaient être mises en place au sein des systèmes de type ERP et notamment au sein de la solution Microsoft Dynamics GP. http://www.secuobs.com/news/10122012-project_mayhem_erp_financial_frauds.shtml http://www.secuobs.com/news/10122012-project_mayhem_erp_financial_frauds.shtml STIX est un langage visant à standardiser les échanges qui interviennent consécutivement à une attaque cybernétique, permettant ainsi d’automatiser l’intégration des informations de détection vers les processus de prévention et ce afin d’assurer une meilleure sécurisation. http://www.secuobs.com/news/10122012-stix_threat_information_expression.shtml http://www.secuobs.com/news/10122012-stix_threat_information_expression.shtml VET (Vetting Commodity IT Software and Firmware) est un programme du DARPA qui vise à vérifier l’intégrité des périphériques et des logiciels les accompagnant. Il vise donc plus particulièrement à détecter les portes dérobées et les fonctionnalités cachées au sein de ces éléments. http://www.secuobs.com/news/10122012-vet_darpa_dod_backdoor_hardware.shtml http://www.secuobs.com/news/10122012-vet_darpa_dod_backdoor_hardware.shtml La dernière version de la plateforme malicieuse Shylock, qui vise les institutions financières, semble s’être dotée d’une nouvelle technique lui permettant de détecter ses exécutions au sein de sessions RDP et ce afin d’empêcher les analyses menées à son encontre par les chercheurs. http://www.secuobs.com/news/03122012-shylock_malware_rdp_detection.shtml http://www.secuobs.com/news/03122012-shylock_malware_rdp_detection.shtml Des chercheurs provenant de deux universités américaines démontre la faisabilité d’un calcul à grande échelle qui puisse être effectué de façon gratuite par l’intermédiaire d’une exploitation visant différents navigateurs Web utilisant le Cloud Computing comme Puffin. http://www.secuobs.com/news/03122012-large_scale_computing_cloud_browser.shtml http://www.secuobs.com/news/03122012-large_scale_computing_cloud_browser.shtml Grâce aux informations du chercheur Neil Smith, le CERT américain vient de publier un bulletin de sécurité faisant état d’une porte dérobée qui est présente au sein des périphériques d’impression de marque Samsung et Dell ayant été fabriqués avant le 31 octobre 2012. http://www.secuobs.com/news/03122012-snmp_backdoor_dell_samsung.shtml http://www.secuobs.com/news/03122012-snmp_backdoor_dell_samsung.shtml Mode transparent avec rupture protocolaire, brouilleur de keyloggers, déploiement accéléré, profiling d’applications... Les technologies utilisées par les WAFs (pare-feu d’application web) sont de plus en plus avancées. Le point sur la question avec Renaud Bidou, directeur technique de Deny All. http://www.secuobs.com/news/29112012-itw-renaud-bidou-deny-all.shtml http://www.secuobs.com/news/29112012-itw-renaud-bidou-deny-all.shtml Le CERT vient de publier une étude se proposant de lister les barrières habituellement rencontrées lors du déploiement des solutions de type Honeypots, mais aussi d’y remédier à travers des clarifications, des recommandations et un comparatif des solutions existantes. http://www.secuobs.com/news/26112012-cert_honeypot_study.shtml http://www.secuobs.com/news/26112012-cert_honeypot_study.shtml Discutée depuis le 13 novembre sur Full Disclosure, une nouvelle forme de codes malicieux vient de voir le jour par l’intermédiaire de Rootkit.Linux.Snakso.a. Ce dernier se caractérisant par son ciblage des systèmes Debian Squeeze et du serveur Web Open Source NGINX. http://www.secuobs.com/news/26112012-rootkit_linux_snakso_nginx.shtml http://www.secuobs.com/news/26112012-rootkit_linux_snakso_nginx.shtml Grâce aux informations divulguées par certains compteurs électriques, des chercheurs américains ont réussi à collecter à intervalles plus ou moins réguliers des informations privées permettant de déterminer le taux d'occupation dans le temps d’une habitation ou d’un local d’entreprise. http://www.secuobs.com/news/26112012-smart_electricity_meter_privacy.shtml http://www.secuobs.com/news/26112012-smart_electricity_meter_privacy.shtml TRAP est un projet présenté en 2008 et qui proposait à l'époque une approche dynamique et similaire à TaintCheck pour détecter les attaques exploitant des vulnérabilités en utilisant des canaux comme les fichiers ou les interfaces réseau pour l'injection de codes malicieux sur un système. http://www.secuobs.com/news/20112012-trap_taintcheck_detection_system.shtml http://www.secuobs.com/news/20112012-trap_taintcheck_detection_system.shtml OpenDNS étoffe son offre de service sécurité à destination des entreprises avec Umbrella Mobility, une offre de VPN dans le Cloud permettant aux administrateurs de regagner de la visibilité de façon transparente sur les utilisateurs nomades sans sacrifier pour autant les performances. http://www.secuobs.com/news/20112012-umbrella_mobility_opendns_security.shtml http://www.secuobs.com/news/20112012-umbrella_mobility_opendns_security.shtml Une nouvelle preuve de concept autorise un attaquant à installer un pilote malicieux de périphérique et un enregistreur de frappes afin de prendre le contrôle à distance d’ un lecteur USB de cartes à puce et effectuer des opérations comme si ce lecteur était installé localement. http://www.secuobs.com/news/20112012-poc_smart_cards_reader_usb.shtml http://www.secuobs.com/news/20112012-poc_smart_cards_reader_usb.shtml Une étude récente vient d’être publiée et présente des résultats démontrant de façon significative que la curiosité est bien souvent la raison ultime menant des utilisateurs à s’exposer aux attaques de type QRishing en scannant des QR codes à l’aide de Smartphones. http://www.secuobs.com/news/12112012-qrishing_qr_code_phishing.shtml http://www.secuobs.com/news/12112012-qrishing_qr_code_phishing.shtml John Seely a récemment publié CounterSploit, un nouvel ensemble de scripts Metasploit permettant de transformer cette plateforme offensive d’exploitation en une suite défensive destinée à mener à bien des investigations de type Forensic et répondre à des incidents. http://www.secuobs.com/news/12112012-countersploit_metasploit_forensic.shtml http://www.secuobs.com/news/12112012-countersploit_metasploit_forensic.shtml Un papier récemment publié décrit BlackSheep, un système distribué permettant l’identification de changements caractéristiques qui vont permettre de détecter d’éventuelles infections de type Rootkits sur un parc de machines physiques ou virtuelles. http://www.secuobs.com/news/12112012-blacksheep_kernel_rootkit_detection.shtml http://www.secuobs.com/news/12112012-blacksheep_kernel_rootkit_detection.shtml Un nouveau vecteur d’attaque confirme les problématiques liées aux services de Cloud Computing. Via une machine virtuelle malicieuse, un groupe de chercheurs a en effet réussi à subtiliser une clé de déchiffrement ElGamal qui était stockée sur une machine virtuelle co-résidente. http://www.secuobs.com/news/05112012-cross_vm_side_channel_attacks.shtml http://www.secuobs.com/news/05112012-cross_vm_side_channel_attacks.shtml The Grugq a présenté un nouveau projet de routeur permettant d'améliorer l’anonymat des utilisateurs à travers la redirection automatique et transparente de l’ensemble de trafic Internet échangé. Le routage transparent de PORTAL étant ici effectué à travers le réseau anonymisant TOR bien connu. http://www.secuobs.com/news/05102012-portal_anonymity_router_tor_openwrt.shtml http://www.secuobs.com/news/05102012-portal_anonymity_router_tor_openwrt.shtml Pour la troisième fois cette année, le code source de Vmware ESX est exposé en ligne. Cette fois, à travers un lien de téléchargement posté sur Twitter dimanche matin. La fuite ayant été publiquement et officiellement reconnue par des responsables de Vmware. http://www.secuobs.com/news/05112012-vmware_leak_vmkernel_esx.shtml http://www.secuobs.com/news/05112012-vmware_leak_vmkernel_esx.shtml Une présentation de Kostya Kortchinsky lors de la conférence Grehack revient sur les progrès accomplis par les dernières versions de Windows, et leur conséquences pour le chercheur de vulnérabilités et le développeur d’exploits. http://www.secuobs.com/news/05112012-grehack.shtml http://www.secuobs.com/news/05112012-grehack.shtml L'édition 2012 des assises de la sécurité met indirectement l’accent sur l'importance du facteur humain, cause de bien des soucis pour les RSSI. http://www.secuobs.com/news/30102012-assises-2012.shtml http://www.secuobs.com/news/30102012-assises-2012.shtml Un nouvel outil vient d’être publié afin d’identifier automatiquement les vulnérabilités de Cross Site Scripting présentes au sein d’applications Web. Open Source et multi-plateforme, il se caractérise par une approche originale lui permettant de se démarquer de l’existant. http://www.secuobs.com/news/29102012-snuck_xss_evasion_filter_automation.shtml http://www.secuobs.com/news/29102012-snuck_xss_evasion_filter_automation.shtml La version 1.0 de Reminder vient récemment d’être publiée sous une licence Open Source, cette solution permettant de bénéficier d’outils de Poisoning, LLMNR et NBT-NS, en plus de serveurs de type Rogue autorisant la collecte de valeurs de hachage NTLMv1/v2. http://www.secuobs.com/news/29102012-responder_llmnr_nbt_ns_poisoning.shtml http://www.secuobs.com/news/29102012-responder_llmnr_nbt_ns_poisoning.shtml La société Prolexic vient d’annoncer la publication de DDoS downtime cost calculator, un service en ligne permettant notamment aux sites de commerce électronique d’évaluer selon différents critères les coûts potentiellement liés à une attaque distribuée par Déni de Service. http://www.secuobs.com/news/29102012-ddos_downtime_cost_calculator.shtml http://www.secuobs.com/news/29102012-ddos_downtime_cost_calculator.shtml Suite à une requête de Hewlett-Packard, une présentation a été annulée 2 jours avant sa tenue programmée lors de la 14ème édition de la conférence Toorcon. Elle visait à présenter des vulnérabilités critiques au sein des équipements réseaux Huawei et H3C appartenant à HP. http://www.secuobs.com/news/27102012-hp_toorcon_14_huawei_h3c.shtml http://www.secuobs.com/news/27102012-hp_toorcon_14_huawei_h3c.shtml Suite à différents audits menés sur des systèmes de fichiers, une vulnérabilité a pu être découverte au sein de NTFS. L’exploitation de cette dernière permettant à un attaquant de bénéficier d’une élévation locale de privilèges via une simple clé USB formatée en NTFS. http://www.secuobs.com/news/22102012-usb_stick_of_death_ntfs.shtml http://www.secuobs.com/news/22102012-usb_stick_of_death_ntfs.shtml En se basant sur l’analyse de quatre années de données antivirales de Symantec, une étude récente tente d’évaluer le nombre et la durée de vie moyenne des attaques exploitant des vulnérabilités 0day. Elle s’attarde également sur les conséquences de leur publication. http://www.secuobs.com/news/22102012-0day_lifetime_symantec.shtml http://www.secuobs.com/news/22102012-0day_lifetime_symantec.shtml Plusieurs vulnérabilités permettant une exploitation distante par injections SQL ont été découvertes au sein d’une solution de type SCADA qui permet de surveiller à distance différents composants des multiples panneaux constituant une centrale solaire photovoltaïque. http://www.secuobs.com/news/15102012-esolar_light_sql_injection_scada.shtml http://www.secuobs.com/news/15102012-esolar_light_sql_injection_scada.shtml La faisabilité d’une attaque de type Phishing abusant de l’API FullScreen d’HTML5 vient d’être démontrée récemment par un chercheur indépendant. Ce dernier ayant publié une preuve de concept afin de sensibiliser les utilisateurs aux risques actuellement encourus. http://www.secuobs.com/news/15102012-poc_api_fullscreen_html5_phishing.shtml http://www.secuobs.com/news/15102012-poc_api_fullscreen_html5_phishing.shtml Whonix est une solution virtuelle d’anonymisation réseau qui vient récemment d’être publiée, elle s’appuie sur Virtual Box et des solutions open source comme Ubuntu et Tor afin de protéger ses utilisateurs vis-à-vis des géolocalisations IP et des fuites liées aux résolutions DNS. http://www.secuobs.com/news/15102012-whonix_virtual_system_anonymity.shtml http://www.secuobs.com/news/15102012-whonix_virtual_system_anonymity.shtml Dans le cadre du projet Honeynet, un nouvel outil vient d’être mis à disposition de tous, HoneyMap consistant en une carte en ligne qui offre une visualisation temps réel des attaques ayant été menées à l’encontre de différentes sondes Honeypot appartenant au projet Honeynet. http://www.secuobs.com/news/09102012-honeymap_map_honeypot_honeynet.shtml http://www.secuobs.com/news/09102012-honeymap_map_honeypot_honeynet.shtml Commercialisé par Wombat, USBGuru est un nouveau produit d’audit par ingénierie sociale qui permet à une organisation de mener à bien des campagnes de sensibilisation et de formation par l’exemple auprès des employés vis-à-vis des risques posés par l’utilisation de périphériques USB de stockage. http://www.secuobs.com/news/08102012-usbguru_audit_social_engineering.shtml http://www.secuobs.com/news/08102012-usbguru_audit_social_engineering.shtml En partant du constat que le transactionnel SSL/TLS est encore trop souvent une simple option au sein des services Web actuels, Cookie Cadger vient d’être publié afin d’offrir une plateforme universelle d'audit pour l'interception et le rejeu des requêtes HTTP GET de nature non chiffrée. http://www.secuobs.com/news/04102012-cookie_cadger_firesheep_http_get.shtml http://www.secuobs.com/news/04102012-cookie_cadger_firesheep_http_get.shtml Scythe est une nouvelle plateforme se destinant à l’énumération des comptes Web actifs à partir d’une liste donnée d’adresses email ou de noms de compte connus ou supposés. Les informations en résultant pouvant s’avérer utiles lors d'audits par ingénierie sociale. http://www.secuobs.com/news/04102012-scythe_web_accounts_enumeration.shtml http://www.secuobs.com/news/04102012-scythe_web_accounts_enumeration.shtml Compatible avec les antivirus du marché et les solutions de sécurité Internet, ExploitShield Browser Edition voit sa version 0.7 Beta publiée gratuitement par ZeroVulnerabilityLabs. Cette solution se destinant à sécuriser les navigateurs Web face aux Zero-Day de type Drive-by Download les ciblant. http://www.secuobs.com/news/29092012-exploitshield_browser_edition_0day.shtml http://www.secuobs.com/news/29092012-exploitshield_browser_edition_0day.shtml Bien qu'elle n'ait pas encore été publiée, Snoopy est une nouvelle plateforme distribuée prometteuse se destinant aux traçages et aux profilages des utilisateurs nomades via des données WiFi collectées par l'intermédiaire de drones client déployés sur un périmètre géographique spécifique. http://www.secuobs.com/news/27092012-snoopy_profiling_tracking_platform.shtml http://www.secuobs.com/news/27092012-snoopy_profiling_tracking_platform.shtml Publiée par Alex Weber, une version MBR malicieuse de l'utilitaire CHKDSK de Microsoft permet à des attaquants de récupérer plus ou moins discrètement le mot de passe d'un utilisateur afin d'accéder ensuite à son compte sur les systèmes d'exploitation de type Microsoft Windows. http://www.secuobs.com/news/25092012-evil_maid_chkdsk_system_password.shtml http://www.secuobs.com/news/25092012-evil_maid_chkdsk_system_password.shtml Asteban Martinez Fayo a présenté une preuve de concept relative à l'exploitation d'une vulnérabilité présente au sein du protocole d'authentification le plus récent des bases de données Oracle. Elle expose les mots de passe de tous les utilisateurs à des attaques par force brute sur les versions courantes. http://www.secuobs.com/news/22092012-oracle_stealth_password_cracking.shtml http://www.secuobs.com/news/22092012-oracle_stealth_password_cracking.shtml David Kennedy vient de publier la version 4.0 de The Social-Engineer Toolkit. Plusieurs mois de développement lui ayant permis d'ajouter plus de 50 nouvelles fonctionnalités à SET, parallèlement à toutes les améliorations qu'il aura également pû apporter dans l'intervalle à l'existant. http://www.secuobs.com/news/20092012-social_engineering_toolkit_4.0.shtml http://www.secuobs.com/news/20092012-social_engineering_toolkit_4.0.shtml Dans le cadre du projet simpliFiRE, un nouvel outil d'ingénierie inverse vient d'être publié. Ce nouveau venu, IDAscope, prend plus particulièrement la forme d'une extension se destinant à ajouter des fonctionnalités spécifiques au désassembleur interactif et commercial IDA Pro. http://www.secuobs.com/news/18092012-ida_pro_simplifire_idascope_RE.shtml http://www.secuobs.com/news/18092012-ida_pro_simplifire_idascope_RE.shtml Suite à la vulnérabilité CVE-2012-0158 et à la recrudescence des attaques utilisant les fichiers RTF comme vecteur de propagation, la nouvelle version de la suite OfficeMalScanner intègre dès maintenant l'outil RTFScan qui facilite la détection et l'extraction des codes malicieux relatifs. http://www.secuobs.com/news/15092012-officemalscanner_rtfscan_audit.shtml http://www.secuobs.com/news/15092012-officemalscanner_rtfscan_audit.shtml Dans le cadre du projet OWASP, il est désormais possible de bénéficier d'une nouvelle plateforme open source d'audit, Xenotix XSS Exploit Framework, se destinant comme son nom l'indique à la détection et à l'exploitation des vulnérabilités de type Cross Site Scripting lors d'un audit. http://www.secuobs.com/news/13092012-xenotix_xss_exploit_framework_owasp.shtml http://www.secuobs.com/news/13092012-xenotix_xss_exploit_framework_owasp.shtml NOVA est un nouvel outil open source permettant à la fois de cacher la nature périmétrique exacte d'une architecture réseau et de détecter les comportements suspicieux d'un attaquant afin éventuellement d'être en mesure d'enrayer les exploitations en cours d'exécution. http://www.secuobs.com/news/11092012-nova_ids_obfuscation_network.shtml http://www.secuobs.com/news/11092012-nova_ids_obfuscation_network.shtml Keychaindump vient d'être publié sous licence open source et se destine à abuser du système de gestion des mots de passe qu'utilisent les systèmes d'exploitation de type Mac Os X. En explorant la mémoire système, cet outil d'audit permet donc de récupérer tout un tas d'informations sensibles. http://www.secuobs.com/news/08092012-keychaindump_max_os_x_password.shtml http://www.secuobs.com/news/08092012-keychaindump_max_os_x_password.shtml